可以使用此过程配置可扩展身份验证协议–传输层安全 (EAP-TLS) 配置文件,以便使用智能卡或其他证书进行身份验证。
Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。
为有线连接配置 EAP-TLS 配置文件的步骤 |
在“常规”选项卡上,执行下列操作:
-
在“策略名称”中,键入有线网络策略的名称。
-
在“描述”中,键入策略的简短描述。
-
确保选中“客户端使用 Windows 有线网络自动配置服务”。
- 若要允许运行 Windows 7 的计算机的用户输入和存储其域凭据(用户名和密码),以便该计算机可以用来登录到网络(即使该用户没有主动登录),请在“Windows 7 策略设置”中选择“启用显式凭据”。
- 若要指定禁止运行 Windows 7 的计算机自动进行网络连接尝试的持续时间,请选择“启用阻止时间段”,并在“阻止时间段(分钟)”中指定希望应用阻止时段的分钟数。分钟数的有效范围为 1-60。
注意 有关任何选项卡上设置的详细信息,请在查看该选项卡时按 F1。
-
在“策略名称”中,键入有线网络策略的名称。
在“安全”选项卡上,执行下列操作:
-
选中“对网络访问启用 IEEE 802.1X 身份验证”。
-
在“选择网络身份验证方法”中,选择“智能卡或其他证书”。
-
在“身份验证模式”中,根据需要从下列各项中选择:“用户或计算机身份验证”、“计算机身份验证”、“用户身份验证”和“来宾身份验证”。默认情况下,“用户或计算机身份验证”处于选中状态。
-
在“最大身份验证失败次数”中,指定通知用户身份验证失败前允许的尝试最多失败次数。默认情况下,该值设置为“1”。
-
若要指定将用户凭据保留在缓存中,请选中“缓存用户信息以便随后连接到该网络”。
-
选中“对网络访问启用 IEEE 802.1X 身份验证”。
若要配置单一登录或高级 802.1X 设置,请单击“高级”。在“高级”选项卡上,执行下列操作:
-
若要配置高级 802.1X 设置,请选择“强制高级 802.1X 设置”,然后修改(仅在必要时)下列各项的设置:“最大 Eapol 启动消息数”、“保持时间”、“启动时间”、“验证时间”和“Eapol 启动消息”。
-
若要配置单一登录,请选中“为此网络启用单一登录”,然后修改(仅在必要时)下列各项的设置:
- 用户登录前立即执行
- 用户登录后立即执行
- 连接的最长延迟
- 允许在单一登录期间显示其他对话框
- 此网络使用不同的 VLAN 对计算机和用户凭据进行身份验证
- 用户登录前立即执行
-
若要配置高级 802.1X 设置,请选择“强制高级 802.1X 设置”,然后修改(仅在必要时)下列各项的设置:“最大 Eapol 启动消息数”、“保持时间”、“启动时间”、“验证时间”和“Eapol 启动消息”。
单击“确定”。此时将关闭“高级安全设置”对话框,返回到“安全”选项卡。在“安全”选项卡上,单击“属性”。此时将打开“智能卡或其他证书属性”对话框。
在“智能卡或其他证书属性”对话框中,执行下列操作:
- 在“连接时”中,选择“使用我的智能卡”或同时选择“在此计算机上使用证书”和“使用简单证书选择(建议使用)”。
- 选择“验证服务器证书”。
- 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。
-
在“受信任的根证书颁发机构”中,选择向运行网络策略服务器 (NPS) 的服务器颁发服务器证书的受信任的根证书颁发机构 (CA)。
注意 此设置将客户端信任的受信任根 CA 限制为所选值。如果未选择任何受信任的根 CA,则客户端将信任其受信任根证书颁发机构存储中的所有受信任根 CA。
- 若要指定客户端使用替换名称进行访问尝试,请选择“为此连接使用一个不同的用户名”。
- 为提高安全性和获得更好的用户体验,请选择“不提示用户验证新服务器或受信任的证书授权机构”。
-
单击“确定”保存“智能卡或其他证书属性”设置。再次单击“确定”返回“新建有线网络策略属性”对话框。
- 在“连接时”中,选择“使用我的智能卡”或同时选择“在此计算机上使用证书”和“使用简单证书选择(建议使用)”。